ぽんぽんメール(JAH柴田)



From info@jpcert.or.jp Fri Dec 26 17:53:28 1997

Date: Fri, 26 Dec 1997 17:52:59 +0900 (JST)

Subject: JPCERT#97121804 Re[2]: SPAM

Mime-Version: 1.0

Content-Type: text/plain; charset="ISO-2022-JP"

From: JPCERT/CC <info@jpcert.or.jp>

To: siva@po.jah.ne.jp

Cc: postmaster@ppn.ne.jp, siva@po.jah.ne.jp, postmaster@po.jah.ne.jp,

    info@jpcert.or.jp

はじめまして、JPCERT/CC の松尾と申します。

 このたびは、ご多用中のところ、貴重な情報をご提供頂き誠にありがとうご

ざいます。お送り頂きました情報は、今後の不正アクセス防止活動のため活用

させて頂きたいと存じます。また、もし今回の件に関しまして再度何かご連絡

を頂けるような場合がございましたら、Subject 行に 'JPCERT#97121804' と

いう番号を付記して頂ければ幸いです。

At 17:05 97/12/18 +0900, SHIBATA Hiroyuki wrote:

>

>  不正アクセスについて、JPCERT/CC様に情報提供致しますので、

> 宜しくお願い致します。

>

> 4. 不正アクセスの内容

> 不正アクセスの分類: 弊社顧客<yusuke@po.jah.ne.jp>宛に、<nobody@ppn.ne.jp>

>           からSPAMが送られてくる。

>           内容は以下の通り。

> 攻撃元 (もしわかれば): <nobody@ppn.ne.jp> PonPonNet(ノエビア藤見販社 有限

会社)

> 既に実行した、不正アクセスへの対処手段: sendmail.cfの設定により、

>                     <nobody@ppn.ne.jp>からのメイルの

>                     受け取りを拒否

---

siva@po.jah.ne.jp 殿:

 メールの Received: ヘッダではなく、当該 SPAM メールを受信した際の

sendmail の配送ログがございましたら、該当部分の情報をご提供頂けませ

んでしょうか。もしログ等に貴サイトの重要な情報が含まれておりましたら、

その部分は除いて頂いても構いません。どうぞよろしくご検討くださいます

ようお願い申し上げます。

---

postmaster@ppn.ne.jp 殿

 貴サイトが不正侵入を受け SPAM メールの発信元になっていないか、ある

いは、貴サイトの SMTP サーバが SPAM メールの不正な中継に利用されてい

ないか、念のためご確認頂くことをお奨め致します。

 「電子メール配送プログラムの不正利用 (予期しない中継)」に関しまして

は、次の URL をご参照ください。

    http://www.jpcert.or.jp/tech/97-0001/index.html

---

 末筆ながら、貴社の益々のご発展をお祈り申しあげます。ご連絡ありがとう

ございました。

                            敬   具

<ご案内>

 JPCERT/CC では、不正アクセスに関する情報を迅速にご提供するために、

メーリングリストを開設しています。登録の方法等、詳しくは、

  http://www.jpcert.or.jp/announce.html

をご参照ください。

======================================================================

Masahiro Matsuo, JPCERT/Coordination Center

    Email: info@jpcert.or.jp    WWW: http://www.jpcert.or.jp/

    TEL: +81-3-5575-7762      FAX: +81-3-5575-7764

    PGP-key: ftp://ftp.jpcert.or.jp/pub/jpcert/JPCERT_PGP.key


From sayaka@powdermilk.jah.ne.jp Fri Dec 26 18:32:18 1997

To: info@jpcert.or.jp

Cc: siva@po.jah.ne.jp, postmaster@ppn.ne.jp, postmaster@po.jah.ne.jp

Subject: JPCERT#97121804 Re[2]: SPAM

From: SHIBATA Hiroyuki <siva@po.jah.ne.jp>

In-Reply-To: Your message of "Fri, 26 Dec 1997 17:52:59 +0900 (JST)"

References: <199712260852.RAA02673@fs.jpcert.or.jp>

X-Mailer: Mew version 1.54 on Emacs 19.28.1, Mule 2.3

Organization: InternetJAH, Tokyo, Japan.

Mime-Version: 1.0

Content-Type: Text/Plain; charset=iso-2022-jp

Content-Transfer-Encoding: 7bit

Date: Fri, 26 Dec 1997 18:32:00 +0900

Sender: sayaka@powdermilk.jah.ne.jp

 いつもお世話になっております、InternetJAHの柴田です

JPCERT/CC <info@jpcert.or.jp>さんが

Fri, 26 Dec 1997 17:52:59 +0900 (JST)に出した

「JPCERT#97121804 Re[2]: SPAM」

にはこう書かれています:

| はじめまして、JPCERT/CC の松尾と申します。

 お世話になります。JPCERT/CC BOFの際は貴重なお話を聞く事が

出来て大変役に立ちました。:-)

| siva@po.jah.ne.jp 殿:

|  メールの Received: ヘッダではなく、当該 SPAM メールを受信した際の

| sendmail の配送ログがございましたら、該当部分の情報をご提供頂けませ

| んでしょうか。もしログ等に貴サイトの重要な情報が含まれておりましたら、

| その部分は除いて頂いても構いません。どうぞよろしくご検討くださいます

| ようお願い申し上げます。

 当該メイルのlogは以下の通りです。

Dec 16 22:12:10 cosmo.jah.ne.jp sendmail[4355]: WAA04355:

from=<nobody@ppn.ne.jp

>, size=370, class=0, pri=30370, nrcpts=1,

msgid=<199712161312.WAA09519@ppn1.ppn

.ne.jp>, bodytype=8BITMIME, proto=ESMTP, relay=ns.ppn.ne.jp [210.156.228.2]

Dec 16 22:12:10 cosmo.jah.ne.jp sendmail[4363]: WAA04355:

to=<yusuke@po.jah.or.j

p>, delay=00:00:01, xdelay=00:00:00, mailer=local, stat=Sent

 このようなlogが12/20より現在に至るまで、520通ほど溜っております。

最新の不正アクセスはDec 26 00:34:03になっております。

| postmaster@ppn.ne.jp 殿

|  貴サイトが不正侵入を受け SPAM メールの発信元になっていないか、ある

| いは、貴サイトの SMTP サーバが SPAM メールの不正な中継に利用されてい

| ないか、念のためご確認頂くことをお奨め致します。

|  「電子メール配送プログラムの不正利用 (予期しない中継)」に関しまして

| は、次の URL をご参照ください。

|     http://www.jpcert.or.jp/tech/97-0001/index.html

 恐らくWWWのCGIスクリプトを用いた不正アクセスであろうと思われます

ので、上記URLに書かれております手法では回避出来ないものであると

思われます。

 ppn.ne.jp様もISPのようですので、ppn.ne.jpのお客様の中で

メイルを送信するようなCGIスクリプトを公開していらっしゃらないか

ご確認してみては如何でしょうか。

 過去に弊社が関わった事例では、WWWのformの入力内容をdecodeして

メイルを送るCGIスクリプトを公開していた、あるISPから不正アクセス

を受けた事がございます。そのスクリプトではGETメソッドでメイルの

送信先を自由に指定出来たために、不正アクセスの踏台にされました。

 他所のWebの掲示版などにIMGタグでそのURLが書かれ、そのWeb掲示版

にアクセスがあると不正アクセスが行われるというものです。

 お客様の中には、十分なセキュリティの知識を持ち合わせずCGIスクリプト

を公開してしまう方がおり、知らず知らずのうちに自分のスクリプトが悪意

を持った第三者に悪用されてしまう場合もございます。そのような場合は

速やかに当該ユーザのCGIスクリプトを使用不可能にし、セキュリティの

教育を行うべきだと考えております。

以上、宜しくお願い致します。

--

コスモメディア株式会社

 柴田浩幸 <siva@po.jah.ne.jp>


To: info@ppn.ne.jp

Cc: root@ppn.ne.jp, postmaster@ppn.ne.jp, postmaster@po.jah.ne.jp

Subject: Re: E-MAIL BOMBING

From: SHIBATA Hiroyuki <siva@po.jah.ne.jp>

In-Reply-To: Your message of "Sun, 04 Jan 1998 03:35:09 +0900,Sun, 04 Jan

1998 0

3:47:12 +0900"

References: <199801031853.DAA29224@ppn1.ppn.ne.jp>

X-Mailer: Mew version 1.54 on Emacs 19.28.1, Mule 2.3

Organization: InternetJAH, Tokyo, Japan.

Mime-Version: 1.0

Content-Type: Text/Plain; charset=iso-2022-jp

Content-Transfer-Encoding: 7bit

Date: Mon, 05 Jan 1998 10:27:29 +0900

Sender: sayaka@powdermilk.jah.ne.jp

 いつもお世話になっております、InternetJAHの柴田です

info@ppn.ne.jpさんが

Sun, 04 Jan 1998 03:47:12 +0900,Sun, 04 Jan 1998 03:35:09 +0900に出した

「Re: E-MAIL BOMBING」

にはこう書かれています:

| アカウント登録で、nobodyが見当たりません。

 恐らく一般ユーザではないので一般ユーザを検索しても見当たらないと

思います。nobodyは一般的に言ってシステムで使用するユーザで、多くの

場合、WWW daemonソフトウェアを起動するユーザです。CGIが起動される

場合、多くの場合nobodyユーザとなるシステムが多いです。

 今回のe-mail bombingはCGIにより発信されているものと思いますので、

nobodyユーザで発信されているのだと思われます。

| 内容調査し、発見次第注意いたします。

| 大変ご迷惑おかけします。

 現在でもe-mail bombは数百通届いております。被害が甚大になって

きておりますので、早急に対処して頂きたいと思っております。

システム管理者の方と直接お話しがしたいのですが、メイルアドレスを

お教え願えないでしょうか。

以上、宜しくお願い致します。

--

コスモメディア株式会社

 柴田浩幸 <siva@po.jah.ne.jp>


From sayaka@powdermilk.jah.ne.jp Mon Jan 5 13:23:22 1998

To: aono@ipro.ad.jp

Cc: postmaster@ipro.ad.jp, postmaster@ppn.ne.jp, postmaster@po.jah.ne.jp

Subject: E-MAIL BOMBING

From: SHIBATA Hiroyuki <siva@po.jah.ne.jp>

X-Mailer: Mew version 1.54 on Emacs 19.28.1, Mule 2.3

Organization: InternetJAH, Tokyo, Japan.

Mime-Version: 1.0

Content-Type: Text/Plain; charset=iso-2022-jp

Content-Transfer-Encoding: 7bit

Date: Mon, 05 Jan 1998 13:25:00 +0900

Sender: sayaka@powdermilk.jah.ne.jp

管理者殿

                        コスモメディア株式会社

                        ネットワーク管理責任者 柴田

 拝啓、弊社は東京でインターネットサービスプロバイダを運営するものです。

詳しくは<http://www.jah.ne.jp/>を御覧下さい。

 さて、弊社顧客である、<yusuke@po.jah.ne.jp>様宛に、現在

<nobody@ppn.ne.jp>から以下のようなSPAMメイル(悪戯メイル)

が百数通も届いております。

>Received: by cosmo.jah.ne.jp for yusuke

> (with Cubic Circle's cucipop (v1.21 1997/08/10) Tue Dec 16 23:07:31 1997)

>Received: from ppn1.ppn.ne.jp (ns.ppn.ne.jp [210.156.228.2])

>   by po.jah.ne.jp (8.8.7+2.7Wbeta7/3.6Wbeta6-jahgw97112512) with ESMTP

id

WAA04355

>   for <yusuke@po.jah.or.jp>; Tue, 16 Dec 1997 22:12:09 +0900 (JST)

>Received: (from nobody@localhost) by ppn1.ppn.ne.jp (8.8.5/3.5Wpl5) id

WAA0951

9; Tue, 16 Dec 1997 22:12:53 +0900 (JST)

>Message-Id: <199712161312.WAA09519@ppn1.ppn.ne.jp>

>Subject: Hello!!

>From: archangel@darkside.com

>Date: Tue, 16 Dec 1997 22:12:53 +0900 (JST)

>MIME-Version: 1.0

>Content-Type: text/plane

>Content-Transfer-Encoding: 7bit

>X-From_: archangel@darkside.com Tue Dec 16 22:12:10 1997

>

>へのつっぱりはいらんですよ。

>

<nobody@ppn.ne.jp>から送られている事を考えると、CGIから発信された

メイルなのではないかと思われます。

 現在、<yusuke@po.jah.ne.jp>宛のメイルの配送は弊社の方で拒否する

ようにしています

info@ppn.ne.jpさんが

Mon, 05 Jan 1998 12:14:15 +0900,Mon, 05 Jan 1998 12:17:49 +0900に出した

「Re: E-MAIL BOMBING」

にはこう書かれています:

| 現在当方でのシステム管理は当方で行なっていますが、主力はIPCに

| 依頼しております。

 現在でもppn.ne.jpより日に何通ものe-mail bombが届いております。

責任の所在は一体どこにあるというのでしょうか。責任を取るつもり

があるのでしたら、サーバのネットワーク接続を切るなどの処置が

取れると思いますが、如何お考えなのでしょうか。

 弊社の方ではお客様に御迷惑がかかり、実際に損害も発生して

おります。これに対してどのように責任を取るおつもりなのか

お聞かせ下さい。

| IPCへ連絡しました! ジャンクmailの状況は確認取れましたが、

| mail from toのPG開発が必要となり、今検討中です。

 何故でしょうか。

 こちらでの推測は以下の通りです。

1) 発信者がnobodyであるところから、攻撃者はwww.ppn.ne.jpの

CGIスクリプトを通じてメイルを送ってきている。

2) こちらで<nobody@ppn.ne.jp>からのメイルを拒否する設定をした直後、

今度は<aya@ppn.ne.jp>でメイルを送って来ている。

3) 以下のようなメイルヘッダがついている事から、nobodyユーザが

sendmail -fによって発信者を<aya@ppn.ne.jp>へ偽造している。

---

>X-Authentication-Warning: ppn1.ipro.ad.jp: nobody set sender to aya using -f

---

4) <nobody@ppn.ne.jp>, <aya@ppn.ne.jp>からのメイルを拒否する設定を

した後、発信者を<zeikan@ppn.ne.jp>へ変えて送って来ている。

5) 3), 4)より、攻撃者はwww.ppn.ne.jp上でCGIスクリプトを編集できる

人物である。

 よってwww.ppn.ne.jp上のCGIスクリプトを調査し、該当する攻撃者を

割り出せば結構かと思います。

 3)より攻撃者はwww.ppn.ne.jpのsendmailを使用していると推測されます。

一時的にsendmailの実行許可属性を000にしてみては如何でしょうか。

daemon modeのsendmailは取り合えずそのままにして様子を見ればシステムの

変更も少なく済むと思われます。

 また、一時的にCGIの実行設定を無効にするのも良いと思われます。

 以上の通り、追加のprogramは一切必要としません。FreeBSD上の操作

だけで完結すると思うのですが、如何でしょうか。

 事態は緊急を要します。早急な対処をお願い致します。

| IPC    (インターネットプロ)は青野さんが、詳しいのですが?

| 本人へは、言いましたが、色よい返事が返ってきません。

 弊社の被害も甚大になってきております。責任はどなたにあるの

でしょうか。

| 私の方の、システムですので、単独に動けない状況ですので。

| 深刻ですので、取りあえずご連絡します。最初から、青野さんへは、

| 最初からお話してください。

| aono@ipro.ad.jp です。

| 宜しくお願いします。

 関係各位には原因の追求と、早急な不正アクセスの停止、そして不正を

行った者に対しての厳重な注意を求めます。

--

コスモメディア株式会社

 柴田浩幸 <siva@po.jah.ne.jp>


From sayaka@powdermilk.jah.ne.jp Wed Jan 7 13:01:48 1998

Received: from powdermilk.jah.ne.jp (powdermilk.jah.ne.jp [202.229.108.30])

by ppn1.ppn.ne.jp (8.8.5/3.5Wpl5) with ESMTP id NAA02395 for

<info@ppn.ne.jp>; Wed, 7 Jan 1998 13:01:48 +0900 (JST)

Received: (from sayaka@localhost)

    by powdermilk.jah.ne.jp (8.8.7+2.7Wbeta7/3.6Wbeta6-jahleaf97101416)

id NAA01702;

    Wed, 7 Jan 1998 13:03:54 +0900 (JST)

Message-Id: <199801070403.NAA01702@powdermilk.jah.ne.jp>

To: aono@ipro.ad.jp

Cc: postmaster@po.jah.ne.jp, others@po.jah.ne.jp, info@ppn.ne.jp

Subject: Re: Re[2]: E-MAIL BOMBING

From: SHIBATA Hiroyuki <siva@po.jah.ne.jp>

In-Reply-To: Your message of "Tue, 6 Jan 1998 20:40:29 +0900 (JST)"

References: <199801061140.UAA09157@ipro.ad.jp>

X-Mailer: Mew version 1.54 on Emacs 19.28.1, Mule 2.3

Organization: InternetJAH, Tokyo, Japan.

Mime-Version: 1.0

Content-Type: Text/Plain; charset=iso-2022-jp

Content-Transfer-Encoding: 7bit

Date: Wed, 07 Jan 1998 13:03:53 +0900

Sender: sayaka@powdermilk.jah.ne.jp

 いつもお世話になっております、InternetJAHの柴田です

Shinichi Aono <aono@ipro.ad.jp>さんが

Tue, 6 Jan 1998 20:40:29 +0900 (JST)に出した

「Re[2]: E-MAIL BOMBING」

にはこう書かれています:

| 上記の情報だけでは何ともいえませんので少なくともメールを受けた日、ヘッダ

| やヘッダのReceived:でも分からないことには弊社では追求は難しいかと思われま

| す。

 おっしゃる通りです。

 例えば以下のようなメイルが何通も届いておりました。

>Received: by cosmo.jah.ne.jp for yusuke

> (with Cubic Circle's cucipop (v1.21 1997/08/10) Fri Nov 21 16:18:11 1997)

>Received: from excalibur.prohosting.com (www@excalibur.shadowlink.net

[207.201.91.14])

>   by po.jah.ne.jp (8.8.7+2.7Wbeta7/3.6Wbeta6-jahgw97100111) with ESMTP

id GAA09676

>   for <yusuke@po.jah.or.jp>; Fri, 21 Nov 1997 06:56:21 +0900 (JST)

>Received: (from www@localhost)

>   by excalibur.prohosting.com (8.8.7/8.8.5) id PAA04425;

>   Thu, 20 Nov 1997 15:02:08 -0700 (MST)

>Message-Id: <199711202202.PAA04425@excalibur.prohosting.com>

>Subject: Hello!!

>From: devil@hell.com

>Date: Thu, 20 Nov 1997 15:02:08 -0700 (MST)

>Content-Type: text/plane

>Content-Transfer-Encoding: 7bit

>X-From_: devil@hell.com Fri Nov 21 06:56:30 1997

 接続拒否の制限をかけてから以降も以下のように送られてきております。

(sendmailのログからの抽出です)

syslog.7:Dec 30 11:54:58 cosmo.jah.ne.jp sendmail[6404]: LAA06404:

ruleset=check_mail, arg1=<www@thunder.prohosting.com>,

relay=www@modem23.mcr.net [207.126.102.223] (may be forged), reject=554

<www@thunder.prohosting.com>... Message from www@thunder.prohosting.com

rejected

syslog.7:Dec 30 11:54:58 cosmo.jah.ne.jp sendmail[6404]: LAA06404:

from=<www@thunder.prohosting.com>, size=0, class=0, pri=0, nrcpts=0,

proto=ESMTP, relay=www@modem23.mcr.net [207.126.102.223] (may be forged)

syslog.7:Dec 30 11:54:58 cosmo.jah.ne.jp sendmail[6405]: LAA06405:

ruleset=check_mail, arg1=<www@thunder.prohosting.com>,

relay=www@modem23.mcr.net [207.126.102.223] (may be forged), reject=554

<www@thunder.prohosting.com>... Message from www@thunder.prohosting.com

rejected

syslog.7:Dec 30 11:54:58 cosmo.jah.ne.jp sendmail[6405]: LAA06405:

from=<www@thunder.prohosting.com>, size=0, class=0, pri=0, nrcpts=0,

proto=ESMTP, relay=www@modem23.mcr.net [207.126.102.223] (may be forged)

syslog.7:Dec 30 11:54:59 cosmo.jah.ne.jp sendmail[6408]: LAA06408:

ruleset=check_mail, arg1=<www@thunder.prohosting.com>,

relay=www@modem23.mcr.net [207.126.102.223] (may be forged), reject=554

<www@thunder.prohosting.com>... Message from www@thunder.prohosting.com

rejected

syslog.7:Dec 30 11:54:59 cosmo.jah.ne.jp sendmail[6408]: LAA06408:

from=<www@thunder.prohosting.com>, size=0, class=0, pri=0, nrcpts=0,

proto=ESMTP, relay=www@modem23.mcr.net [207.126.102.223] (may be forged)

syslog.7:Dec 30 11:54:59 cosmo.jah.ne.jp sendmail[6409]: LAA06409:

ruleset=check_mail, arg1=<www@thunder.prohosting.com>,

relay=www@modem23.mcr.net [207.126.102.223] (may be forged), reject=554

<www@thunder.prohosting.com>... Message from www@thunder.prohosting.com

rejected

syslog.7:Dec 30 11:54:59 cosmo.jah.ne.jp sendmail[6409]: LAA06409:

from=<www@thunder.prohosting.com>, size=0, class=0, pri=0, nrcpts=0,

proto=ESMTP, relay=www@modem23.mcr.net [207.126.102.223] (may be forged)

syslog.7:Dec 30 11:55:00 cosmo.jah.ne.jp sendmail[6413]: LAA06413:

ruleset=check_mail, arg1=<www@thunder.prohosting.com>,

relay=www@modem23.mcr.net [207.126.102.223] (may be forged), reject=554

<www@thunder.prohosting.com>... Message from www@thunder.prohosting.com

rejected

syslog.7:Dec 30 11:55:00 cosmo.jah.ne.jp sendmail[6413]: LAA06413:

from=<www@thunder.prohosting.com>, size=0, class=0, pri=0, nrcpts=0,

proto=ESMTP, relay=www@modem23.mcr.net [207.126.102.223] (may be forged)

 これらのメイルもユーザwwwからですので、CGIから送られてきているのでは

ないかと思いますが、もし何か分かりましたら、情報をおよせください。

| JPCERTにも以下のような事が原因だった事をお伝えください。

| 今回のMAIL BOMBの手口

| ある手口を使ってパスワードファイルを改竄

| シェルを使用できるアカウントを不正に作成

 パスワードファイルの改竄、アカウントの作成が可能であったという

のは、重大なセキュリティホールだと思うのですが、その点は十分に

対策されたと考えてよろしいのでしょうか。

以上、宜しくお願い致します。

--

コスモメディア株式会社

 柴田浩幸 <siva@po.jah.ne.jp>


From aono@ipro.ad.jp Wed Jan 7 17:23:49 1998

X-UIDL: cbf8a814086d09127b27765157b401f9

Received: from ipro.ad.jp (zapper.ipro.ad.jp [203.179.1.2]) by ppn1.ppn.ne.jp

(8.8.5/3.5Wpl5) with ESMTP id RAA06198 for <info@ppn.ne.jp>; Wed, 7 Jan 1998

17:23:48 +0900 (JST)

Received: from Magi3.ipro.ad.jp (ipc-pc012.ipro.ad.jp [203.179.1.22]) by

ipro.ad.jp (8.8.7/3.5Wpl7) with SMTP id RAA16914; Wed, 7 Jan 1998 17:24:37

+0900 (JST)

Date: Wed, 7 Jan 1998 17:24:37 +0900 (JST)

Message-Id: <199801070824.RAA16914@ipro.ad.jp>

From: Shinichi Aono <aono@ipro.ad.jp>

To: SHIBATA Hiroyuki <siva@po.jah.ne.jp>

Cc: info@ppn.ne.jp

Subject: Re[2]: Re[2]: E-MAIL BOMBING

In-Reply-To: <199801070403.NAA01702@powdermilk.jah.ne.jp>

References: <199801061140.UAA09157@ipro.ad.jp>

<199801070403.NAA01702@powdermilk.jah.ne.jp>

MIME-Version: 1.0

Content-Type: text/plain; charset=ISO-2022-JP

Content-Transfer-Encoding: 7bit

X-Mailer: Becky! ver 1.23

Status: RO

インターネット・プロの青野です。お世話になっております。

> >Received: by cosmo.jah.ne.jp for yusuke

> > (with Cubic Circle's cucipop (v1.21 1997/08/10) Fri Nov 21 16:18:11 1997)

> >Received: from excalibur.prohosting.com (www@excalibur.shadowlink.net [207.201.91.14])

> >  by po.jah.ne.jp (8.8.7+2.7Wbeta7/3.6Wbeta6-jahgw97100111) with ESMTP id GAA09676

> >  for <yusuke@po.jah.or.jp>; Fri, 21 Nov 1997 06:56:21 +0900 (JST)

> >Received: (from www@localhost)

> >  by excalibur.prohosting.com (8.8.7/8.8.5) id PAA04425;

> >  Thu, 20 Nov 1997 15:02:08 -0700 (MST)

> >Message-Id: <199711202202.PAA04425@excalibur.prohosting.com>

> >Subject: Hello!!

> >From: devil@hell.com

> >Date: Thu, 20 Nov 1997 15:02:08 -0700 (MST)

> >Content-Type: text/plane

> >Content-Transfer-Encoding: 7bit

> >X-From_: devil@hell.com Fri Nov 21 06:56:30 1997

>

>  接続拒否の制限をかけてから以降も以下のように送られてきております。

> (sendmailのログからの抽出です)

>

> syslog.7:Dec 30 11:54:58 cosmo.jah.ne.jp sendmail[6404]: LAA06404: ruleset=check_mail, arg1=<www@thunder.prohosting.com>, relay=www@modem23.mcr.net [207.126.102.223] (may be forged), reject=554 <www@thunder.prohosting.com>... Message from www@thunder.prohosting.com rejected

> syslog.7:Dec 30 11:54:58 cosmo.jah.ne.jp sendmail[6404]: LAA06404: from=<www@thunder.prohosting.com>, size=0, class=0, pri=0, nrcpts=0, proto=ESMTP, relay=www@modem23.mcr.net [207.126.102.223] (may be forged)

> syslog.7:Dec 30 11:54:58 cosmo.jah.ne.jp sendmail[6405]: LAA06405: ruleset=check_mail, arg1=<www@thunder.prohosting.com>, relay=www@modem23.mcr.net [207.126.102.223] (may be forged), reject=554 <www@thunder.prohosting.com>... Message from www@thunder.prohosting.com rejected

> syslog.7:Dec 30 11:54:58 cosmo.jah.ne.jp sendmail[6405]: LAA06405: from=<www@thunder.prohosting.com>, size=0, class=0, pri=0, nrcpts=0, proto=ESMTP, relay=www@modem23.mcr.net [207.126.102.223] (may be forged)

> syslog.7:Dec 30 11:54:59 cosmo.jah.ne.jp sendmail[6408]: LAA06408: ruleset=check_mail, arg1=<www@thunder.prohosting.com>, relay=www@modem23.mcr.net [207.126.102.223] (may be forged), reject=554 <www@thunder.prohosting.com>... Message from www@thunder.prohosting.com rejected

> syslog.7:Dec 30 11:54:59 cosmo.jah.ne.jp sendmail[6408]: LAA06408: from=<www@thunder.prohosting.com>, size=0, class=0, pri=0, nrcpts=0, proto=ESMTP, relay=www@modem23.mcr.net [207.126.102.223] (may be forged)

> syslog.7:Dec 30 11:54:59 cosmo.jah.ne.jp sendmail[6409]: LAA06409: ruleset=check_mail, arg1=<www@thunder.prohosting.com>, relay=www@modem23.mcr.net [207.126.102.223] (may be forged), reject=554 <www@thunder.prohosting.com>... Message from www@thunder.prohosting.com rejected

> syslog.7:Dec 30 11:54:59 cosmo.jah.ne.jp sendmail[6409]: LAA06409: from=<www@thunder.prohosting.com>, size=0, class=0, pri=0, nrcpts=0, proto=ESMTP, relay=www@modem23.mcr.net [207.126.102.223] (may be forged)

> syslog.7:Dec 30 11:55:00 cosmo.jah.ne.jp sendmail[6413]: LAA06413: ruleset=check_mail, arg1=<www@thunder.prohosting.com>, relay=www@modem23.mcr.net [207.126.102.223] (may be forged), reject=554 <www@thunder.prohosting.com>... Message from www@thunder.prohosting.com rejected

> syslog.7:Dec 30 11:55:00 cosmo.jah.ne.jp sendmail[6413]: LAA06413: from=<www@thunder.prohosting.com>, size=0, class=0, pri=0, nrcpts=0, proto=ESMTP, relay=www@modem23.mcr.net [207.126.102.223] (may be forged)

これらは

>Message-Id: <199711202202.PAA04425@excalibur.prohosting.com>

から見る限り、prohosting.comの問題ではないでしょうか?

ポンポンネットのサーバーから送られたものではないと思います。

>

>  これらのメイルもユーザwwwからですので、CGIから送られてきているのでは

> ないかと思いますが、もし何か分かりましたら、情報をおよせください。

>

これはそうとは言いきれないのでは?

> | JPCERTにも以下のような事が原因だった事をお伝えください。

> | 今回のMAIL BOMBの手口

>

> | ある手口を使ってパスワードファイルを改竄

> | シェルを使用できるアカウントを不正に作成

>

>  パスワードファイルの改竄、アカウントの作成が可能であったという

> のは、重大なセキュリティホールだと思うのですが、その点は十分に

> 対策されたと考えてよろしいのでしょうか。

>

対策も先日のメールで述べたとおりに行いました。

以上


From sayaka@powdermilk.jah.ne.jp Wed Jan 7 17:39:46 1998

Received: from powdermilk.jah.ne.jp (powdermilk.jah.ne.jp [202.229.108.30])

by ppn1.ppn.ne.jp (8.8.5/3.5Wpl5) with ESMTP id RAA06458 for

<info@ppn.ne.jp>; Wed, 7 Jan 1998 17:39:44 +0900 (JST)

Received: (from sayaka@localhost)

    by powdermilk.jah.ne.jp (8.8.7+2.7Wbeta7/3.6Wbeta6-jahleaf97101416)

id RAA07328;

    Wed, 7 Jan 1998 17:41:55 +0900 (JST)

Message-Id: <199801070841.RAA07328@powdermilk.jah.ne.jp>

To: aono@ipro.ad.jp

Cc: postmaster@po.jah.ne.jp, info@ppn.ne.jp

Subject: Re: Re[2]: Re[2]: E-MAIL BOMBING

From: SHIBATA Hiroyuki <siva@po.jah.ne.jp>

In-Reply-To: Your message of "Wed, 7 Jan 1998 17:24:37 +0900 (JST)"

References: <199801070824.RAA16914@ipro.ad.jp>

X-Mailer: Mew version 1.54 on Emacs 19.28.1, Mule 2.3

Organization: InternetJAH, Tokyo, Japan.

Mime-Version: 1.0

Content-Type: Text/Plain; charset=iso-2022-jp

Content-Transfer-Encoding: 7bit

Date: Wed, 07 Jan 1998 17:41:54 +0900

Sender: sayaka@powdermilk.jah.ne.jp

 いつもお世話になっております、InternetJAHの柴田です

Shinichi Aono <aono@ipro.ad.jp>さんが

Wed, 7 Jan 1998 17:24:37 +0900 (JST)に出した

「Re[2]: Re[2]: E-MAIL BOMBING」

にはこう書かれています:

| これらは

| >Message-Id: <199711202202.PAA04425@excalibur.prohosting.com>

| から見る限り、prohosting.comの問題ではないでしょうか?

| ポンポンネットのサーバーから送られたものではないと思います。

 ですから、

| >  これらのメイルもユーザwwwからですので、CGIから送られてきているのでは

| > ないかと思いますが、もし何か分かりましたら、情報をおよせください。

 prohosting.comのCGIから送られて来ているのではないか、と推測して

おります。御説明が足りなく、申し訳御座いませんでした。誤解を招いて

しまったようです。

 直接ppn.ne.jpより送られたかどうかをお聞きしているわけではなく

(もちろんそのような記録が残っていればお知らせ頂きたいわけですが)

今回原因となったppn.ne.jpのユーザに対して事情を聞き、もし、

prohosting.comからのメイルも同一人物が出したものであれば教えて

頂きたい、と思い、上記のように書きました。

 当該ppn.ne.jpのユーザがprohosting.comよりレンタルサーバサービスを

受け、prohosting.com上のCGIスクリプトを編集できる権限を持っていれば

prohosting.comとppn.ne.jpの両方からメイルを送っていた、という可能性

は0ではないでしょう。

 prohostong.comに関しては、ppn.ne.jp様のようにうまくコミュニケーション

が取れているわけではなく、解決が難しくなっておりまして、少しでもお力を

お借り出来れば有難いと思い、情報提供のお願いをした次第です。

 そういった意味では青野様ではなく、ppn.ne.jpの責任者の方にお聞きして

いると言っても良いのかもしれませんが、私には青野様とppn.ne.jpの責任者

の方の責任範囲がいまひとつ明確ではない為、青野様宛のメイルにてお聞き

しております。(Cc:で<info@ppn.ne.jp>にも送っておりますので、それでも

問題はないと思っておりますが)

| 対策も先日のメールで述べたとおりに行いました。

 承知しました。

--

コスモメディア株式会社

 柴田浩幸 <siva@po.jah.ne.jp>


From aono@ipro.ad.jp Wed Jan 7 20:40:52 1998

Received: from ipro.ad.jp (zapper.ipro.ad.jp [203.179.1.2]) by ppn1.ppn.ne.jp

(8.8.5/3.5Wpl5) with ESMTP id UAA09767 for <info@ppn.ne.jp>; Wed, 7 Jan 1998

20:40:51 +0900 (JST)

Received: from Magi3.ipro.ad.jp (ipc-pc012.ipro.ad.jp [203.179.1.22]) by

ipro.ad.jp (8.8.7/3.5Wpl7) with SMTP id UAA19229; Wed, 7 Jan 1998 20:41:42

+0900 (JST)

Date: Wed, 7 Jan 1998 20:41:42 +0900 (JST)

Message-Id: <199801071141.UAA19229@ipro.ad.jp>

From: Shinichi Aono <aono@ipro.ad.jp>

To: SHIBATA Hiroyuki <siva@po.jah.ne.jp>

Cc: info@ppn.ne.jp

Subject: Re[2]: Re[2]: Re[2]: E-MAIL BOMBING

In-Reply-To: <199801070841.RAA07328@powdermilk.jah.ne.jp>

References: <199801070824.RAA16914@ipro.ad.jp>

<199801070841.RAA07328@powdermilk.jah.ne.jp>

MIME-Version: 1.0

Content-Type: text/plain; charset=ISO-2022-JP

Content-Transfer-Encoding: 7bit

X-Mailer: Becky! ver 1.23

インターネット・プロの青野ですお世話になっております。

>  prohosting.comのCGIから送られて来ているのではないか、と推測して

> おります。御説明が足りなく、申し訳御座いませんでした。誤解を招いて

> しまったようです。

>

>  直接ppn.ne.jpより送られたかどうかをお聞きしているわけではなく

> (もちろんそのような記録が残っていればお知らせ頂きたいわけですが)

> 今回原因となったppn.ne.jpのユーザに対して事情を聞き、もし、

> prohosting.comからのメイルも同一人物が出したものであれば教えて

> 頂きたい、と思い、上記のように書きました。

>

>  当該ppn.ne.jpのユーザがprohosting.comよりレンタルサーバサービスを

> 受け、prohosting.com上のCGIスクリプトを編集できる権限を持っていれば

> prohosting.comとppn.ne.jpの両方からメイルを送っていた、という可能性

> は0ではないでしょう。

>

>  prohostong.comに関しては、ppn.ne.jp様のようにうまくコミュニケーション

> が取れているわけではなく、解決が難しくなっておりまして、少しでもお力を

> お借り出来れば有難いと思い、情報提供のお願いをした次第です。

>

>  そういった意味では青野様ではなく、ppn.ne.jpの責任者の方にお聞きして

> いると言っても良いのかもしれませんが、私には青野様とppn.ne.jpの責任者

> の方の責任範囲がいまひとつ明確ではない為、青野様宛のメイルにてお聞き

> しております。(Cc:で<info@ppn.ne.jp>にも送っておりますので、それでも

> 問題はないと思っておりますが)

>

上記の内容は理解致しました。

責任問題がどこかという問題に関しては私もどうこう言えませんが、弊社も一プ

ロバイダー(企業)として、お客様が困っていればお助けするのが当然ですし、

同じネットワークを運営するものとして、今回のような悪業をほっておく分けに

はいきません。ですから私の意志としても徹底的に追求して2度とこのような事を

行わせないようにしたいとは思っております。

しかしながら、運営している企業はあくまでもポンポンネット様ですので弊社で

はユーザーに電話をかけて問い詰めたり、弊社からメールを出したりできないこ

とは分かっていただけると思います。

弊社もメールサービス等を行っておりますのでSPAMメールには悩まされまし

た。技術的な対処はできても対処する前に一度被害を被っているわけですから何

としてもユザーを追及し、ユザーに謝罪してもらうべく、メールのヘッダからメー

ルを出したホストや、中継サーバをたどってゆき、最終的な接続プロバイダにユ

ザーの開示を求めたところ、その接続プロバイダが発行しているお試しキャンペー

ンのアカウントで最終的にはユザーを追求することはできませんでした。

ですから御社のお気持ちも良く理解できます。

今回の場合は、ログから犯人ではないかと思われるユザーアカウントは分かりま

したのでポンポンネット様には伝えてあります。もちろんユザーに問い詰めてほ

しいということも伝えてあります。ポンポンネット様からは「メールを出します」

との答えでしたので、「電話番号まで分かっているのですから、直接電話で問い

詰めるように」とも言ってあります。

もちろんポンポンネット様にも色々と事情はありますでしょうから回答のレスポ

ンスについては私からは何ともいえません。

私青野が、メール等に答える事が、柴田を混乱させる原因となっているのかも知

れませんが、 私はポンポンネット様の事情も知っておりますし、柴田様からポ

ンポンネット様の印象が悪くなるのも困りますので、あえてこのようにできるだ

け、できる範囲でメールにお返事をさせていただいております。

確かにセキュリティー面ではポンポンネット様のサーバーに問題があったと思い

ます。しかし、全てのサーバー管理者、ネットワーク運営者が柴田様の様に知識

を備え早急に問題を解決することができれば今回の様な事はなかったのかもしれ

ませんがインターネットの世界ではそのような分けにはいかないと思います。

弊社としても弊社の運営するサーバーやネットワーク以外管理することは不可能

ですし、今後も今回ような問題は十分に起こりうると思います。

憎むところは、悪行を行ったもので、望むところは各サーバーやネットワークを

管理している者が善意であることと、その者の技術の向上だとおもいます。

ポンポンネット様からはきっとユザーを問い詰めた結果のメールが帰ってくると

思いますし、今回のことによりネットワーク、サーバー管理の難しさも十分理解

し、更なる技術の向上に努めて頂けるものと私は思っております。

ご迷惑をおかけしたと思いますが、私自信にできることはここまでです。

今後もポンポンネット、ならびにインターネット・プロをよろしくお願いいたし

ます。